Hey
anscheinend habe ich den win32 alcan a über limewire geholt - doofe sache.
Nun geht er aber nicht mehr weg. Außerdem ist wohl auch noch win32 agent bq drauf und dazu geht der Taskmanager nicht; wenn ich ihn über ausführen öffnen will, wird gesagt, dass er von einem anderen Programm genutzt wird.

Ich habe im abgesicherten Modus gescannt mit:
Ad aware - findet immer wieder alcan a
anti vir - findet gar nichts
escan - findet viel, aber ich kann es nicht entfernen; testversion:-(
Spybot - findet nichts.

Was kann ich machen? Ich brauche den PC unbedingt mit den Daten. Muss bald ne Arbeit abgegeben und kann jetzt nicht mehr richtig dran arbeiten -scheiss!
Hier erstmal n Logfile von Hijackthis. Kann mir wer helfen? Könnt mir auch ruhig emailen.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.158.1.1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://h**p://v4.windowsupdate.micro...142.4643981481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://download.macromedia.co...sh/swflash.cab

Servus, shad!

Zitat:

escan - findet viel, aber ich kann es nicht entfernen; testversion:-(

Poste doch das Ergebnis von Haui45´s "find.bat", wie hier http://www.trojaner-board.de/showthread.php?t=17492 beschrieben!
Außerdem poste das gesamte HJT-Logfile (samt Kopf) aus dem "normalen" Modus und editiere die aktiven links (http-->h**P)
stupormundi

Zitat:

Zitat von stupormundi

Außerdem poste das gesamte HJT-Logfile (samt Kopf) aus dem "normalen" Modus
stupormundi

ok, escan lasse ich grad durchlaufen und werde das Ergebnis wie beschrieben posten. Was heißt das HJT logfile im NORMALen MODUS? Meinst du nicht im abgesicherten?
Danke für die schnelle HIlfe...ich hoffe, escan beeilt sich.

Servus, shad

Zitat:

ok, escan lasse ich grad durchlaufen

ich gehe davon aus, dass Du dzt. von einer anderen Maschine aus ins I-Net gegangen bist. Wenn nämlich escan jetzt gerade auf dieser Maschine im Hintergrund läuft (d.h. nicht im abgesicherten Modus) wäre das nicht optimal.

Zitat:

ich hoffe, escan beeilt sich.

Gut Ding braucht Weile! Wenn Du die Einstellungen richtig getroffen hast (wie in der verlinkten Anzeige angeführt) läuft der Scan >1Stunde und länger.

Zitat:

Was heißt das HJT logfile im NORMALen MODUS? Meinst du nicht im abgesicherten?

Ein HJT-Log ist im "normalen" Modus aussagekräftiger, weil man eben sieht, welche (möglicherweise bösen) Prozesse laufen. Im abgesicherten Modus wird ja nur das Nötigste geladen. Hier wird dann nur repariert (gefixt).
stupormundi

Zitat:

Zitat von stupormundi

Servus, shad
ich gehe davon aus, dass Du dzt. von einer anderen Maschine aus ins I-Net gegangen bist. Wenn nämlich escan jetzt gerade auf dieser Maschine im Hintergrund läuft (d.h. nicht im abgesicherten Modus) wäre das nicht optimal.

ja, ich sitze grad an einem anderen rechner. dickes danke nochmal!

Escan ist endlich fertig. HJT habe ich im normalen Modus auch durchlaufen lassen. Hier das Ergebnis. Hoffentlich kann mir wer weiter helfen und hoffentlich muss ich das System nicht neu aufsetzen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 11:11:34 2005 => File C:\WINDOWS\n_hwfflp.dat infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken.
Mon Oct 24 11:16:12 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffWinshow.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Mon Oct 24 12:08:16 2005 => File C:\Programme\winsupdater\a.tmp infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Mon Oct 24 12:08:16 2005 => File C:\Programme\winsupdater\a.zip infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Mon Oct 24 12:08:17 2005 => File C:\Programme\winsupdater\winsupdater.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Mon Oct 24 13:23:21 2005 => File C:\WINDOWS\n_hwfflp.dat infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken.
Mon Oct 24 13:44:54 2005 => File D:\Downloads_2\AntiViren\attack_tool_kit-3.0.zip infected by "HackTool.Win32.AttKit.b" Virus! Action Taken: No Action Taken.
Mon Oct 24 13:50:54 2005 => Scanning Folder: D:\Programme\AntiVir_personal_funktnicht\INFECTED\*.*
Mon Oct 24 13:51:01 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon Oct 24 14:02:44 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 11:11:33 2005 => File C:\WINDOWS\NDNuninstall6_10.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 11:11:33 2005 => File C:\WINDOWS\NDNuninstall6_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 11:26:18 2005 => File C:\Downloads\GDiVX1.9.9.5.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 13:23:20 2005 => File C:\WINDOWS\NDNuninstall6_10.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 13:23:20 2005 => File C:\WINDOWS\NDNuninstall6_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 14:02:44 2005 => Total Virus(es) Found: 27
Mon Oct 24 14:02:45 2005 => Total Errors: 410
Mon Oct 24 14:02:45 2005 => Time Elapsed: 02:53:09
Mon Oct 24 14:02:44 2005 => Total Objects Scanned: 155617
Mon Oct 24 14:02:45 2005 => Virus Database Date: 2005/10/17
Mon Oct 24 14:19:04 2005 => Virus Database Date: 2005/10/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


HIER DER HJT LOGFILE:

Logfile of HijackThis v1.97.7
Scan saved at 14:30:19, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\FireFox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Downloads_2\AntiViren\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.1.1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://h**p://v4.windowsupdate.micro...142.4643981481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Servus, shad!
Hier

Zitat:

Logfile of HijackThis v1.97.7
Scan saved at 14:30:19, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

zeigt sich, dass für die Beurteilung auch der Kopf wichtig ist. Du nutzt immer noch eine doch sehr alte Version von HJT. Hol Dir die aktuelle 1.99.1 http://www.wintotal.de/softw/index.php?id=2022 und poste noch einmal ein HJT Logfile aus dem normalen Modus

Zitat:

Mon Oct 24 14:02:45 2005 => Virus Database Date: 2005/10/17
Mon Oct 24 14:19:04 2005 => Virus Database Date: 2005/10/17

Deine Escan-Signaturen sind auch nicht aktuell!
Was den Wurm angeht, bin ich aber jetzt schon skeptisch!

Zitat:

W32/Bropia-A also launches W32/Rbot-TX to the Windows system folder with a filename randomly chosen from the following:
adaware.exe
VB6.EXE
lexplore.exe
Win32.exe

(Bropia ist der alias Name bei Sophos) Das Ding lädt einen Backdoor nach!
Mal sehen, bis später, stupormundi

Hier der Logfile von dem aktuellen HJT. Oh man...hoffentlich wird alles gut.


Logfile of HijackThis v1.99.1
Scan saved at 14:50:25, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://w*w.bitdefender.com/scan8/oscan8.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

W32/Bropia-A also launches W32/Rbot-TX

--> da habe ich noch gelesen:

The worm will prevent the following files from being executed:

cmd.exe
taskmgr.exe ...und der geht ja auch nicht bei mir.

Dann ist er es wohl wirklich....unter anderen!?!?

Und warum hat mein System laut Escan soviel Fehler:
"Mon Oct 24 14:02:45 2005 => Total Errors: 410"

Servus, shad!
In Deinem HJT-Log kann ich nichts finden, was auf einen Schädling hindeutet!
Hast Du schon etwas entfernt/gelöscht?
Update mit 'kavupd.exe' Deine escan Signaturen und lass das noch einmal (ich weiß, das dauert) laufen!
Nachtrag: Keine voreiligen Schlüsse ziehen
Die Fehler sind vorerst wurscht!
stupormundi

ja, ich habe gestern mittels HJT schon 2 sachen entfernt, die mir spanisch vorkamen...also mehr so intuitiv
Das eine hieß irgendwas mit "...winupdate", dazu hat Adaware gestern
mehrmal alcan.a entfernt - ich befürchtete erfolglos, weil er es immer wieder gefunden hat.
Übrigens habe ich gerade bemerkt, dass mein Taskmanager wieder funktioniert.
Ich update EScan und poste dann wieder...danke nochmal für die Hilfe!

Hallo,

solch einen Eintrag hast Du gefixt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winupdates
C:\Prpogramme\winupdates\winupdates.exe /auto

Schau hier:
http://www.sophos.com/virusinfo/analyses/w32alcrab.html

dartus

ja, ich glaube das war es. habe so einen ähnlichen hinweis auch irgendwo gelesen und es deswegen einfach ma gelöscht...ob damit allerdings das Problem entgültig gelöst ist, weiß ich nicht. Schließlich hat adaware auch danach noch w32.alcan.a gefunden.
Leider kann ich die Ergebniss von Escan , HJT etc. nicht ordentlich interpretieren.

Übrigens hatte ich mir über limewire sowas hier runtergeladen:
h**p://www.viruslist.com/de/viruses/encyclopedia?virusid=80560
Nur habe ich das setup abgebrochen, weil Antivir gemeckert hat...was wohl leider auch nicht mehr alles verhindern konnte.

Hallo shad,

das bloße Fixen reicht nicht, die Datei sollte auch gelöscht werden.
Lösche eifach alle von Escan gefundenen Dateien (vorzugsweise im abgesicherten Modus) oder benutze die Killbox (Beschreibung siehe hier unter "Einsetzen von eScan – Beseitigung der Malware:".

dartus

hey dartus

danke für den Beitrag!!!
Ich werd dann also gleich der Anleitung Killbox einsetzen und danach die aktualisierte Form von EScan im abgesicherten Modus nochmals laufen lassen!?

PS: Killbox kann ich im normalen Modus laufen lassen,oder?
PSS: EScan updated aber janz schön viel...